AWS Politiques gérées pour Amazon SageMaker Ground Truth - Amazon SageMaker
AmazonSageMakerGroundTruthExecutionSageMaker Mises à jour de la politique de Ground Truth

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Politiques gérées pour Amazon SageMaker Ground Truth

Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser SageMaker Ground Truth. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés depuis la SageMaker console.

AWS politique gérée : AmazonSageMakerGroundTruthExecution

Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser SageMaker Ground Truth.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • lambda— Permet aux principaux d'invoquer des fonctions Lambda dont le nom inclut « sagemaker » (sans distinction majuscules et minuscules), « » ou GtRecipe « ». LabelingFunction

  • s3 : permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom ne distingue pas les majuscules et minuscules contient « groundtruth » ou « sagemaker », ou qui sont marqués d'un « ». SageMaker

  • cloudwatch— Permet aux directeurs de publier des CloudWatch métriques.

  • logs : permet aux principaux de créer des flux de journaux et d'y accéder, et de publier des événements de journal.

  • sqs : permet aux principaux de créer des files d'attente Amazon SQS, et d'envoyer et de recevoir des messages Amazon SQS. Ces autorisations sont limitées aux files d'attente dont le nom inclut « GroundTruth ».

  • sns : permet aux principaux de s'abonner à des rubriques et de publier des messages dans des rubriques Amazon SNS dont le nom insensible à la casse contient « groundtruth » ou « sagemaker ».

  • ec2 : autorise les principaux à créer, décrire et supprimer les points de terminaison Amazon VPC dont le nom de service de point de terminaison de VPC contient « sagemaker-task-resources » ou « labeling ».

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomLabelingJobs",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*GtRecipe*",
                "arn:aws:lambda:*:*:function:*LabelingFunction*",
                "arn:aws:lambda:*:*:function:*SageMaker*",
                "arn:aws:lambda:*:*:function:*sagemaker*",
                "arn:aws:lambda:*:*:function:*Sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::*GroundTruth*",
                "arn:aws:s3:::*Groundtruth*",
                "arn:aws:s3:::*groundtruth*",
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "StreamingQueue",
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:DeleteMessage",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "sqs:ReceiveMessage",
                "sqs:SendMessage",
                "sqs:SetQueueAttributes"
            ],
            "Resource": "arn:aws:sqs:*:*:*GroundTruth*"
        },
        {
            "Sid": "StreamingTopicSubscribe",
            "Effect": "Allow",
            "Action": "sns:Subscribe",
            "Resource": [
                "arn:aws:sns:*:*:*GroundTruth*",
                "arn:aws:sns:*:*:*Groundtruth*",
                "arn:aws:sns:*:*:*groundTruth*",
                "arn:aws:sns:*:*:*groundtruth*",
                "arn:aws:sns:*:*:*SageMaker*",
                "arn:aws:sns:*:*:*Sagemaker*",
                "arn:aws:sns:*:*:*sageMaker*",
                "arn:aws:sns:*:*:*sagemaker*"
            ],
            "Condition": {
                "StringEquals": {
                    "sns:Protocol": "sqs"
                },
                "StringLike": {
                    "sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
                }
            }
        },
        {
            "Sid": "StreamingTopic",
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:*:*:*GroundTruth*",
                "arn:aws:sns:*:*:*Groundtruth*",
                "arn:aws:sns:*:*:*groundTruth*",
                "arn:aws:sns:*:*:*groundtruth*",
                "arn:aws:sns:*:*:*SageMaker*",
                "arn:aws:sns:*:*:*Sagemaker*",
                "arn:aws:sns:*:*:*sageMaker*",
                "arn:aws:sns:*:*:*sagemaker*"
            ]
        },
        {
            "Sid": "StreamingTopicUnsubscribe",
            "Effect": "Allow",
            "Action": [
                "sns:Unsubscribe"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WorkforceVPC",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:DescribeVpcEndpoints",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ec2:VpceServiceName": [
                        "*sagemaker-task-resources*",
                        "aws.sagemaker*labeling*"
                    ]
                }
            }
        }
    ]
}

Amazon SageMaker met à jour ses politiques gérées par SageMaker Ground Truth

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker Ground Truth depuis que ce service a commencé à suivre ces modifications.

Politique Version Modification Date

AmazonSageMakerGroundTruthExecution : mise à jour d'une stratégie existante

3

Ajoutez les autorisations ec2:CreateVpcEndpoint, ec2:DescribeVpcEndpoints et ec2:DeleteVpcEndpoints.

 29 avril 2022

AmazonSageMakerGroundTruthExecution - Mise à jour d'une politique existante

2

Supprime l'autorisation sqs:SendMessageBatch.

 11 avril 2022

AmazonSageMakerGroundTruthExecution - Nouvelle politique

1

Politique initiale

 20 juillet 2020